背景
前段时间,Log4j2, Logback 日志框架频频爆雷:
炸了!Log4j2 再爆破绽,v2.17.1 横空出世。。。
Logback 也爆雷了,惊爆了。。。
究其原因,很大一部分就是因为 JNDI 这个玩意。。。
JNDI
JNDI:Java Naming and Directory Interface,即:Java 命名和目录接口 ,它专为 Java 应用程序提供命名和目录性能。
JNDI 架构图:
如图,JNDI 蕴含以下两局部:
1)JNDI API:
Java 应用程序即是通过 JNDI API 来拜访各种命名和目录服务的。
2)JNDI SPI(服务提供接口)
Java 应用程序通过 JNDI SPI 插入各种命名和目录服务的,而后通过 JNDI API 进行拜访。
比方,没用 JNDI 之前,你可能要在 Java 代码中写死一些 JDBC 的数据库配置,有了 JNDI,就能够把数据源定义一种资源,而后通过名称进行查找,示例代码如下:
Connection conn = null;
try {Context ctx = new InitialContext();
DataSource ds = (Datasource) ctx.lookup("java:MysqlDataSource");
conn = ds.getConnection();
...
} catch(Exception e) {...} finally {...}
当然,数据源及配置当初都是 Spring 进行治理了,这里只是介绍 JNDI 的一种用法。
说白了,JNDI 就是 Java 的一套标准,相当于把某个资源进行注册,再依据资源名称来查找定位资源。
要应用 JNDI,必须要有一个 JDNI 类,以及 1 个或者多个服务提供者(SPI),比方,在 JDK 中就蕴含以下几个服务提供者:
- 轻量级目录拜访协定 (LDAP)
- 通用对象申请代理体系结构 (CORBA)
- 通用对象服务命名服务 (COS)
- Java 近程办法调用 (RMI)
- 域名服务 (DNS)
这里的 LDAP
协定正是频频爆破绽的本源,攻击者屡试不爽。
Log4j2 破绽回顾
网上很多复现的示例,为了不造成更大影响,这里就不实战演示了,示例代码如下:
/**
* 作者:栈长
* 起源公众号:Java 技术栈
*/
public class Test {public static final Logger logger = LogManager.getLogger();
public static void main(String[] args) {logger.info("${jndi:ldap://localhost:8080/dangerious}");
}
}
这就是 Log4j2 核弹级破绽的主因!
LDAP 协定在下面有提到,它是一个凋谢的利用协定,也是 JDK JNDI 上面的一个服务提供者,用于提供目录信息访问控制。
破绽正是利用了 JDNI 中的 ldap
协定,以上代码中的 localhost
如果是攻击者的地址,就会造成近程代码执行破绽,结果就不堪设想。。
这是因为 Log4j2 有一个 Lookups 性能,它提供了一种向 Log4j 配置中增加值的办法,也就是通过一些办法、协定去读取特定环境中的信息,Jndi Lookup 就是其中一种:
通过一系列的版本修复再调整,从 Log4j v2.17.0 开始,JNDI 操作须要通过以下参数被动开启:
log4j2.enableJndiLookup=true
当初这种 jndi:ldap
协定查找形式也被 Log4j2 Lookups 干掉了,仅反对 java
协定或者没有协定这种查找形式了。
Log4j2 破绽的后续停顿,栈长也会继续跟进,关注公众号 Java 技术栈,公众号第一工夫推送。
结语
Log4j2 Lookups 引发的破绽真不少,这阵子始终在爆雷,这还真是个鸡肋性能,有几个人用到了?
当然,这阵子的破绽不全是因为 JNDI 造成的,JNDI 它只是提供了一套标准,用得不好总不能怪它吧?所以,咱们也不能把责任全推到 JNDI 身上,Log4j2 Lookups 性能脱不了干系,既然提供了 Jndi Lookup 性能,但对其影响面思考的太少了。。
一个日志框架,最次要的目标是记录日志,尽管提供了许多其余丰盛的性能,但如果没有思考到位,反而会引发严重后果,毕竟平安第一,但也没方法,用开源就得承受开源的利弊。
还有人说,本人开发,这可能是气话了。支流开源的有很多公司在用,爆破绽还有大厂反馈,能第一工夫感知,本人开发的,啥时候爆雷了,爆在哪了,怎么死的都不晓得,能不能做好一款产品和继续保护还是另外一回事。
参考文档:
- https://docs.oracle.com/javas…
- https://logging.apache.org/lo…
Log4j2 破绽的后续停顿,栈长也会继续跟进,关注公众号 Java 技术栈,公众号第一工夫推送。
版权申明!!!
本文系公众号 “Java 技术栈 ” 原创,转载、援用本文内容请注明出处, 剽窃、洗稿一律投诉侵权,后果自负 ,并保留追究其法律责任的权力。
近期热文举荐:
1.1,000+ 道 Java 面试题及答案整顿 (2022 最新版)
2. 劲爆!Java 协程要来了。。。
3.Spring Boot 2.x 教程,太全了!
4.Spring Boot 2.6 正式公布,一大波新个性。。
5.《Java 开发手册(嵩山版)》最新公布,速速下载!
感觉不错,别忘了顺手点赞 + 转发哦!